裏側強化その3:これからはじめる人のためのSSLの選びかた
ECサイトの裏側強化策として「決済」「セキュリティ(SSLサーバ証明書)」の2つについて講演いただいたところ、来場者の方は、とくに証明書の導入についてシステム周りがわかりにくい様子。
そこで、「さくらのSSL」ラインナップのひとつで、さくらインターネットとサイバートラストが共同で提供する「SureServer for SAKURA」を例に、これから導入する人のためのSSLの選びかたを、パネルディスカッション形式で解説いただきました。
ざっくりまとめると……
- EV認証、企業認証の「審査」は証明書発行会社がやってくれる
- 「SureServer for SAKURA」は月額制があるのが画期的
- 導入、更新の作業はひと手間 セキュリティを考えるとプロに任せたい
- 選ぶ基準は「安全性」「価格とプラン」「ユビキティ」「設定代行」か
――まず、証明書の種類について。坂本さんのお話では、「EV認証」「企業(OV)認証」と、「ドメイン認証」の3種類が出てきました。最初の2つは、審査が必要だということでしたが、どんな審査があるか教えていただけますか?
坂本 「EV認証」「企業(OV)認証」に関しては、お申込みいただくと、登記簿や企業信用調査会社のデータなどから、どういった企業さんなのかを審査させていただきます。証明書発行企業が独自に進めるため、「こういった書類を出してください」というお願いをすることは基本的にはありません。
審査について、「企業(OV)認証」は、法的に実在しているか、物理的に実在つまりどこで商売をされているかの、いずれかがわかれば発行します。一方で「EV認証」は両方を見ますし、いつ設立されたのかも調べて、年数が浅い企業さんであれば、どこの銀行とお取引されているかといったところまで踏み込ませていただきます。
――「ドメイン認証」との違いを教えていただけますか?
坂本 「ドメイン認証」を発行されている企業さんは、自社のことをわかりやすく、「証明書の自動販売機です」なんておっしゃいます。審査がないので、お申込みいただくとすぐ発行されるからですね。その分、「EV認証」「企業(OV)認証」より安いです。問題なのは、ドメインさえ持っていればフィッシングサイトにも証明書が発行されるということ。「ドメイン認証」は、情報の暗号化以外の用途には意味がないと言っていいと思います。
――「SureServer for SAKURA」では、「EV認証」「企業(OV)認証」がラインナップされています。
増田 ドメイン認証を扱わないわけではありませんが、さくらインターネットとしては、インターネットをより安全に、楽しくお使いいただきたいという思いがあります。坂本さんがお話しされたような、サイバートラストさんのお考えに共感するところがあり、お取引をさせていただくことになりました。そういった理由から、「EV認証」「企業(OV)認証」の2つを積極的に押しているというところですね。
| プラン名称 | 認証レベル | 月額(税込) | 年額(税込) | 有効期間 |
|---|---|---|---|---|
| SureServer EV for SAKURA | EV SSL | 4,860円 | 53,460円 | 2年間 |
| SureServer for SAKURA | 企業認証SSL | 3,780円 | 41,580円 | 3年間 |
――お値段だけ見ると、やっぱり「EV認証」のほうが1万円ほどお高めですが。
坂本 そうですね。ただ、他の証明書提供会社のEV証明書と比べると、このお値段は非常に魅力的ですし、月額制という料金プランで提供もされるのは画期的ですよね。
増田 最近は、期間限定のキャンペーンサイトで個人情報を取得するといった取り組みもあるかと思います。証明書のさまざまな利用用途に、月額制で柔軟に対応できるようにしました。
――ではいろいろと比較していただいて、導入すると決めた場合、どのような作業工程があるのでしょうか。
坂本 実はけっこう、面倒くさいんです。証明書の元になる「CSR」というデータを作っていただいて、そこに証明書提供会社が審査した結果を埋め込んで、納品させていただくという形です。それをサーバにインストールしていただくと、サイトに反映されます。
増田 有料にはなりますが、さくらインターネットのほうでCSRの発行からインストールまでの作業を一貫してお受けするサービスもあります。作業の手間を考えると、当社のような会社にお任せいただくのも1つの選択肢ではないでしょうか。
坂本 当社のカスタマーサポートにお寄せいただく内容を見ていると、プロにお任せするのがいいかなと感じています。また、2014年からSSLがハッカーに狙われていて、脆弱性が次々と明らかになっているという背景もあり、それも踏まえた対応は、専門家でないと難しいですから。
さらに、免許証やパスポートのように、証明書には有効期限があります。その期限ごとに、更新、設定作業をしていただかなくてはなりません。
増田 この更新を、ギリギリまでお忘れになる企業さんも多いです。そういったピンチの際にも、当社を頼っていただければと思います。
坂本 業界の決まりで、「EV認証」なら最長2年、「企業(OV)認証」なら最長3年と期限が決まっています。「SureServer for SAKURA」は、どちらもいちばん長い有効期限になっていますので、手間も軽減されるのではないでしょうか。
加えて、最近スマホやタブレットなどさまざまな端末が出てきていますが、証明書によっては対応できない端末もあるんですね。そのカバー力の広さを「ユビキティ」と言いますが、「SureServer for SAKURA」はユビキティが業界トップレベルなんです。
増田 証明書の安全性、月額制プランがあること、年額のお値段、有効期限、ユビキティ、 そして設定作業や更新を代行させていただけること。証明書を選ぶ際はぜひ、そういった基準で比較していただければと思います。
――ありがとうございました。
